FAST16 možda prethodi Stuxnetu kao rani alat za sajber sabotažu
The Register piše o istraživanju SentinelOne tima predstavljenom na Black Hat Asia konferenciji, gde je analiziran malware uzorak poznat kao FAST16. Istraživači procenjuju da je mogao nastati oko 2005. godine, nekoliko godina pre Stuxneta, i da je bio namenjen sabotaži preciznih inženjerskih i fizičkih simulacija. Malware pokušava da instalira worm i kernel drajver fast16.sys, a njegova rutina menja rezultate floating-point proračuna u softveru za simulacije kao što su LS-DYNA 970, PKPM i MOHID. SentinelOne navodi da su ti alati korišćeni u oblastima poput crash testova, strukturnih analiza i hidrodinamičkog modeliranja, što napad pomera iz digitalnog sveta ka mogućim fizičkim posledicama.
Posebna težina ovog nalaza je u tome što sabotaža ne mora uvek izgledati kao eksplozija, zaključan server ili ukradena baza. Ako napadač neprimetno menja rezultate simulacija na kojima se zasnivaju inženjerske odluke, posledice se mogu pojaviti mnogo kasnije, kroz pogrešan projekat, loš model ili odluku zasnovanu na podacima kojima se verovalo.
- Popisati stare Windows XP sisteme i izolovati ih od mreže gde god je moguće
- Proveriti integritet inženjerskog i simulacionog softvera koji se koristi za kritične proračune
- Kod važnih simulacija čuvati ulazne podatke, verzije softvera i rezultate radi naknadne provere
- Pratiti nepoznate kernel drajvere i pokušaje izmene procesa koji rade precizne proračune
- Za kritične inženjerske odluke koristiti nezavisnu proveru rezultata na odvojenom sistemu ili drugom alatu